《電子商務法》中的個人信息保護

開欄的話
　　保障電子商務各方主體的合法權益，規範電子商務行為，維護市場秩序，促進電子商務持續健康發展，《電子商務法》無疑是電子商務經營者開展經營活動的總綱領。新法施行在即，本報從今日起開設「專家談《電子商務法》」專欄，邀請國內外高校專家、法律從業者和知名電商企業法律工作者就《電子商務法》的立法精神、個人信息保護、平臺責任、權利義務關係、法律責任設置等熱點問題各抒己見，以期見微知著，共促發展。

一、《電子商務法》和《網絡安全法》關於個人信息保護的區別和聯繫
　　(一)個人信息的定義
　　個人信息是指以電子或者其他方式記錄的，能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。
　　判斷某項信息是否屬於個人信息，有兩個路徑。一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人。二是關聯，即從個人到信息，已知特定自然人在其活動中產生的信息(如個人位置信息、個人通話記錄、個人瀏覽記錄等)。符合這兩種情形之一的信息，均應判定為個人信息。
　　從信息的用途看，個人信息可以分為三類。第一類用於建立特定主體之間互動的渠道，如電話號碼、電子郵箱、地址、IMEI號等。第二類用於認證特定個人電子身份，如用戶名密碼、指紋、虹膜、Face ID等。一旦用於認證個人電子身份的個人數據被洩露、濫用、誤用，與電子身份緊密相連的各種權益都將處於巨大的風險之中。第三類用於描述特定個人某些方面的特徵或情況，如瀏覽記錄、婚史、行蹤軌跡、教育經歷、疾病史、宗教信仰、血型、基因信息等。這些個人數據一旦遭洩露或者被濫用、誤用，他人可能利用這些信息勒索特定個人或迫使其違背意願行事。
　　(二)《電子商務法》和《網絡安全法》關於個人信息保護的異同
　　我國《網絡安全法》和《電子商務法》都對個人信息保護作出了規定，既有區別，又有聯繫。
　　1.適用對象
　　《網絡安全法》適用的對象是網絡經營者，包括網絡所有者、網絡管理者和網絡服務提供者。根據《網絡安全法》第四十條、第四十一條、第四十二條、第四十三條和第四十四條的規定，個人信息收集和使用有七個基本原則，即權責一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開透明原則、確保安全原則、主體參與原則。
　　《電子商務法》適用於電子商務經營者，包括通過網際網路等信息網絡從事銷售商品或者提供服務的經營活動的自然人、法人和非法人組織，有平臺經營者、平臺內經營者和自建網站、其他網絡服務銷售商品或者提供服務的電子商務經營者3類。需要注意的是，《電子商務法》通過「其他網絡服務」將利用微信朋友圈、網絡直播等方式從事商品、服務經營活動的主體納入《電子商務法》規制範圍，有利於加強對相關領域的監管。
　　2.保護客體
　　《網絡安全法》保護的客體是信息(系統)安全，包括信息安全和運營安全。具體而言，《網絡安全法》保護的內容包括國家網絡安全戰略、網絡安全等級保護制度、網際網路信息內容管理制度、網絡安全事件管理制度及預警制度、網絡產品和服務的管理制度、關鍵信息基礎設施安全保護、個人信息和重要數據保護制度、數據本地化存儲與數據跨境傳輸等。
　　《電子商務法》保護的客體是網絡運行安全和個人信息安全。《電子商務法》第三十條規定，電子商務平臺經營者應當採取技術措施和其他必要措施保證其網絡安全、穩定運行，防範網絡違法犯罪活動，有效應對網絡安全事件，保障電子商務交易安全。第二十三條規定，電子商務經營者收集、使用其用戶的個人信息，應當遵守法律、行政法規有關個人信息保護的規定。第二十四條規定，電子商務經營者應當明示用戶信息查詢、更正、刪除以及用戶註銷的方式、程序，不得對用戶信息查詢、更正、刪除以及用戶註銷設置不合理條件。
　　3.數據存儲與安全保障
　　《網絡安全法》規定，網絡日誌的留存時間不少於6個月。網絡運營者應採取技術措施和其他必要措施，維護網絡數據的完整性、保密性和可用性。
　　《電子商務法》第三十一條規定，商品和服務信息、交易信息保存時間自交易完成之日起不少於3年。同時，要求電子商務經營者保證數據的完整性、保密性、可用性。可見，《電子商務法》進一步細化了《網絡安全法》就數據存儲在特定領域的時間要求，數據類型也具體化為商品、服務交易信息。
　　4.個性化搜索結果顯示
　　《網絡安全法》第四十一條規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則。
　　對《網絡安全法》作細化解釋的國家推薦性標準《個人信息安全規範》規定，當僅依據信息系統的自動決策而作出顯著影響個人信息主體權益的決定時，個人信息控制者應向個人信息主體提供申訴方法。
　　《電子商務法》第十八條規定，電子商務經營者針對消費者個人特徵提供商品、服務搜索結果時，要一併提供非針對個性推薦選項，通過提供可選信息保護消費者的知情權、選擇權。這樣規定有利於防止電子商務經營者利用大數據分析「殺熟」，即收集用戶畫像、支付能力、支付意願實行「一人一價」，甚至出現「會員價」高於正常價格的情況。
　　5.個人信息主體的權利實現方式
　　關於個人信息刪除權，《網絡安全法》規定網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，個人信息主體有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。
　　《電子商務法》則進一步明確了刪除的方式和程序。第二十四條要求電子商務經營者明示用戶信息查詢、更正、刪除以及用戶註銷的方式、程序，不得對用戶信息查詢、更正、刪除以及用戶註銷設置不合理條件。
　　值得注意的是，《網絡安全法》規定用戶要求網絡運營者刪除其個人信息的前提是網絡運營者有違法或違約的情況，而《電子商務法》在用戶實現刪除權方面未設置前提，這是在《網絡安全法》基礎上針對特定領域用戶權利加強了保護。
　　可攜權是《歐盟數據保護條例》中的概念，指個人信息主體有權要求數據控制者提供個人數據副本，有權要求數據控制者將其個人數據傳輸至其他數據控制者。《網絡安全法》沒有相關規定，但《個人信息安全規範》規定了個人信息主體可以向數據控制者請求特定類型的個人信息副本，或在數據控制者技術可行的前提下直接將個人信息副本傳輸給第三方。《電子商務法》未採納《個人信息安全規範》中的相關規定，這並不是與國家標準的要求相背離，可能是待相關法律制度成熟後再進行補充。

二、違反《電子商務法》個人信息保護規定的主要表現形式
　　1.過度收集。例如，天氣預報類APP收集聯繫人、簡訊內容。
　　2.秘密收集。例如，收集信息時僅作有限告知、含糊告知等。
　　3.誘騙收集。例如，發送中獎信息騙取個人提供信息等。
　　4.強制收集。例如，設置一攬子協議、霸王條款等。
　　5.非法收集。例如，非法押存身份證等。
　　6.從黑市上購買個人信息。主要用於增加用戶數、豐富用戶信息等。
　　7.強制推送商業廣告。
　　8.無限期存儲、使用個人信息。例如，拒絕用戶註銷、刪除請求等。
　　9.使用個人信息時，在非必要的情形下保持了對個人身份的指向性。
　　10.隨意變更目的使用個人信息。
　　11.未經授權同意對外提供個人信息，包括非法交易、共享等。
　　12.非法披露個人信息。例如，快遞單流轉時沒有任何防護措施。
　　13.內部人員非法對外倒賣個人信息。主要是由於企業對客戶信息管理未設置權限等。
　　14.對用戶的查詢、投訴置若罔聞。
　　15.外包處理業務時沒有嚴格管理而導致個人信息洩漏。
　　16.對個人敏感信息隨意處理。
　　17.創業失敗後隨意處置所收集的個人信息。
　　18.個人信息遭竊取、洩漏後極力遮掩。
　　19.當個人信息被冒用時，沒有做到有效核驗。例如，手機號易主等情形。
　　20.平臺對商戶收集、使用個人信息行為缺乏管控。

三、違反《電子商務法》個人信息保護規定的法律責任

　　□環球律師事務所合伙人 孟 潔